Проект ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от __ мая 2026 г. № __ О порядке расчета количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций) В соответствии с подпунктом «в» пункта 3 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» Правительство Российской Федерации постановляет: 1. Утвердить прилагаемые Правила определения количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органа (организаций). 2. Федеральной службе по техническому и экспортному контролю по согласованию с Федеральной службой безопасности Российской Федерации утвердить методику оценки показателя, характеризующего уровень текущего состояния защищенности объектов информационной инфраструктуры органа (организаций). 3. Установить, что реализация настоящего постановления, а также мониторинг достижения целевых значений показателей, характеризующих уровень защищенности объектов информационной 2
инфраструктуры органов (организаций), осуществляется Федеральной службой по техническому и экспортному контролю. Председатель Правительства Российской Федерации М.Мишустин 3
Приложение к постановлению Правительства Российской Федерации от __ мая 2026 г. № __ Правила определения количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций) 1. Настоящие Правила устанавливают порядок определения значений показателей, характеризующих уровень защищенности принадлежащих федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации государственных информационных систем, иных информационных систем, а также принадлежащих государственным фондам, государственным корпорациям (компаниям) и иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, являющимся субъектами критической информационной инфраструктуры Российской Федерации (далее — органы (организации)), значимых объектов критической информационной инфраструктуры Российской Федерации. 2. В соответствии с пунктом 11 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности» уровень защищенности принадлежащих органам (организациям) государственных информационных систем, иных информационных систем и значимых объектов критической информационной инфраструктуры (далее — объекты информационной инфраструктуры Российской Федерации) 4
определяется следующими показателями: а) обеспечена защищенность объектов информационной инфраструктуры в органе (организации) от актуальных угроз в информационной сфере (далее — показатель «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)»). б) на не менее 80 % объектов информационной инфраструктуры, функционирующих в отрасли (сфере деятельности), определенной Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», обеспечена защищенность от актуальных угроз в информационной сфере (далее — показатель «уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности), определенных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). в) на не менее 80 % объектов информационной инфраструктуры, находящихся в ведении органов исполнительной власти субъектов Российской Федерации, обеспечена защищенность от актуальных угроз в информационной сфере (далее — показатель «уровень защищенности объектов информационной инфраструктуры в субъекте Российской Федерации»). 3. Термины и определения в настоящих Правилах используются в значениях, указанных в Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федеральном законе от 27 июля 2006 г. № 149- ФЗ «Об информации, информационных технологиях и о защите информации». 4. Расчет показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)» 5
обеспечивается органом (организацией) не реже одного раза в 6 месяцев. 5. Расчет показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)» организуется заместителем руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности, и проводится в отношении объектов информационной инфраструктуры, подлежащих защите в соответствии с законодательством Российской Федерации. 6. Результаты расчета показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)» направляются в Федеральную службу по техническому и экспортному контролю по установленной ею форме и (или) с использованием информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов критической информационной инфраструктуры, обеспечение функционирования которой осуществляется Федеральной службой по техническому и экспортному контролю. 7. Федеральная служба по техническому и экспортному контролю в течении 30 календарных дней проводит анализ результатов расчета показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)», поступивших от органа (организации) и уведомляет орган (организацию) о присвоенном значении показателя. 8. При проведении анализа результатов расчета показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)», полученное от органа (организации), учитываются результаты государственного контроля в области технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры, 6
осуществляемого Федеральной службой по техническому и экспортному контролю, а также результаты эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных учреждений, проводимого в соответствии с постановлением Правительства Российской Федерации от 26 марта 2025 г. № 372 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных учреждений». 9. Расчет показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)» осуществляется в соответствии с методикой утвержденной Федеральной службой по техническому и экспортному контролю по согласованию с Федеральной службой безопасности Российской Федерации. 10. Показатель «уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности), определенных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» определяется по формуле: N БУСФ B СФ = х 100 % , N ОБЩСФ где: N БУСФ - количество органов (организаций), функционирующих в конкретной сфере деятельности, определенной Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в которых обеспечена защищенность объектов информационной инфраструктуры от актуальных угроз в информационной сфере; N ОБЩСФ - общее количество органов (организаций), осуществляющих свою деятельность в конкретной сфере деятельности, определенной 7
Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и в которых проведен расчет показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)». 11. Расчет показателя «уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности), определенных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» осуществляется Федеральной службой по техническому и экспортному контролю на основе показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)». 12. Федеральная служба по техническому и экспортному контролю не реже одного раза в 6 месяцев направляет в органы (организации), уполномоченные осуществлять регулирование в конкретных отраслях (сферах деятельности), сведения о значении показателя «уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности), определенных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». 13. Форма представления сведений о значении показателя «уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности), определенных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» определяется Федеральной службой по техническому и экспортному контролю на . 14. Показатель «уровень защищенности объектов информационной инфраструктуры в субъекте Российской Федерации» определяется по формуле: 8
N БУСУБ B СУБ = х 100 % , N ОБЩСУБ где: N БУСУБ- количество органов (организаций), функционирующих в конкретном субъекте Российской Федерации, и в которых обеспечена защищенность объектов информационной инфраструктуры от актуальных угроз в информационной сфере; N ОБЩСУБ- общее количество органов (организаций), функционирующих в конкретном субъекте Российской Федерации и в которых проведен расчет показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)». 15. Расчет показателя «уровень защищенности объектов информационной инфраструктуры в субъекте Российской Федерации» осуществляется Федеральной службой по техническому и экспортному контролю на основе показателя «уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации)». 16. Федеральная служба по техническому и экспортному контролю не реже одного раза в 6 месяцев направляет в высшие органы исполнительной власти субъектов Российской Федерации сведения о значении показателя «уровень защищенности объектов информационной инфраструктуры в субъекте Российской Федерации». 17. Форма представления сведений о значении показателя «уровень защищенности объектов информационной инфраструктуры в субъекте Российской Федерации» определяется Федеральной службой по техническому и экспортному контролю. 18. Сбор, обобщение и анализ сведений о достижении целевых значений показателей, указанных в пункте 2 настоящего постановления, осуществляется Федеральной службой по техническому и экспортному контролю. 9
Результаты сбора, обобщения и анализа сведений о достижении целевых значений показателей, указанных в пункте 2 настоящего постановления, представляются в Совет Безопасности Российской Федерации и включаются в ежегодный доклад Секретаря Совета Безопасности Российской Федерации Президенту Российской Федерации по вопросам «О состоянии национальной безопасности Российской Федерации и мерах по ее укреплению» с указанием отраслей (сфер деятельности), высших исполнительных органов власти субъектов Российской Федерации, не достигших целевых значений показателей, определенных пунктом 11 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности». ________________